Poniższa procedura służy do konfigurowania profilu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) w celu uwierzytelniania z użyciem kart inteligentnych lub innych certyfikatów.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej.

Aby skonfigurować profil EAP-TLS dla połączeń przewodowych

  1. Na karcie Ogólne wykonaj następujące czynności:

    1. W polu Nazwa zasady wpisz nazwę zasady sieci przewodowej.

    2. W polu Opis wpisz krótki opis tych zasad.

    3. Upewnij się, że jest zaznaczone pole wyboru Użyj usługi autokonfiguracji sieci przewodowej systemu Windows dla klientów.

    4. Aby umożliwić użytkownikom komputerów z systemem Windows 7 wprowadzanie i przechowywanie poświadczeń domeny (nazwy użytkownika i hasła), których komputer może następnie używać do logowania się w sieci (nawet gdy użytkownik nie jest aktywnie zalogowany), w obszarze Ustawienia zasad systemu Windows 7 wybierz opcję Włącz jawne poświadczenia.

    5. Aby określić czas, przez jaki komputery z systemem Windows 7 mają zakaz podejmowania prób automatycznego nawiązania połączenia z siecią, wybierz opcję Włącz okres bloku, a następnie w polu Okres bloku (w minutach) podaj liczbę minut, w czasie których ma obowiązywać blokada. Dozwolona jest liczba minut z zakresu od 1 do 60.

      Uwaga

      Aby uzyskać więcej informacji o ustawieniach na każdej z kart, naciśnij klawisz F1 podczas przeglądania danej karty.

  2. Na karcie Zabezpieczenia wykonaj następujące czynności:

    1. Zaznacz pole wyboru Włącz uwierzytelnianie dostępu do sieci metodą IEEE 802.1X.

    2. Z listy rozwijanej Wybierz metodę uwierzytelniania sieciowego wybierz pozycję Karta inteligentna lub inny certyfikat.

    3. W obszarze Tryb uwierzytelniania wybierz, zależnie od potrzeb, jedną z następujących opcji: Uwierzytelnianie użytkownika lub komputera, Uwierzytelnianie komputera, Uwierzytelnianie użytkownika, Uwierzytelnianie gościa. Domyślnie jest wybrana opcja Uwierzytelnianie użytkownika lub komputera.

    4. W polu Maks. liczba błędów uwierzytelniania określ maksymalną dozwoloną liczbę prób zakończonych niepowodzeniem przed powiadomieniem użytkownika o niepowodzeniu uwierzytelnienia. Domyślną wartością jest „1”.

    5. Jeśli poświadczenia użytkowników mają być przechowywane w pamięci podręcznej, zaznacz pole wyboru Przechowuj w pamięci podręcznej informacje o użytkownikach dla kolejnych połączeń z tą siecią.

  3. Aby skonfigurować ustawienia rejestracji jednokrotnej lub zaawansowane ustawienia 802.1X, kliknij przycisk Zaawansowane. Na karcie Zaawansowane wykonaj następujące czynności:

    1. Aby skonfigurować zaawansowane ustawienia 802.1X, zaznacz pole wyboru Wymuś zaawansowane ustawienia 802.1X, a następnie zmodyfikuj (tylko w razie potrzeby) następujące ustawienia: Maksymalna liczba komunikatów uruchomienia-eapol, Okres przetrzymywania, Okres uruchomienia, Okres uwierzytelniania, Komunikat uruchomienia-eapol.

    2. Aby skonfigurować ustawienia rejestracji jednokrotnej, zaznacz pole wyboru Włącz rejestrację jednokrotną dla tej sieci, a następnie zmodyfikuj stosownie do potrzeb następujące ustawienia:

      • Wykonaj bezpośrednio przed logowaniem użytkownika

      • Wykonaj bezpośrednio po logowaniu użytkownika

      • Maksymalne opóźnienie łączności

      • Zezwalaj na wyświetlanie dodatkowych okien dialogowych podczas rejestracji jednokrotnej

      • Ta sieć używa różnych sieci VLAN do uwierzytelniania przy użyciu poświadczeń komputera i użytkownika

  4. Kliknij przycisk OK. Okno dialogowe Zaawansowane ustawienia zabezpieczeń zostanie zamknięte i nastąpi powrót do karty Zabezpieczenia. Na karcie Zabezpieczenia kliknij przycisk Właściwości. Zostanie otwarte okno dialogowe Właściwości karty inteligentnej lub innego certyfikatu.

  5. W oknie dialogowym Właściwości karty inteligentnej lub innego certyfikatu wykonaj następujące czynności:

    1. W obszarze Podczas łączenia wybierz opcję Użyj mojej karty inteligentnej lub wybierz opcje Użyj certyfikatu na tym komputerze i Użyj prostego wyboru certyfikatu (zalecane).

    2. Zaznacz pole wyboru Weryfikuj certyfikat serwera.

    3. Aby określić serwery usługi RADIUS (Remote Authentication Dial-In User Service), których muszą używać na potrzeby uwierzytelniania i autoryzacji klienci z dostępem przewodowym, w obszarze Połącz tylko z tymi serwerami wpisz nazwę każdego serwera usługi RADIUS, dokładnie tak, jak widnieje ona w polu podmiotu certyfikatu danego serwera. Poszczególne nazwy serwerów RADIUS oddzielaj średnikami.

    4. Z listy Zaufane główne urzędy certyfikacji wybierz zaufany główny urząd certyfikacji, który wystawił certyfikat serwera dla używanego serwera NPS.

      Uwaga

      To ustawienie pozwala ograniczyć do wybranych wartości zaufane główne urzędy certyfikacji, którym ufają klienci. Jeśli nie zostanie wybrany żaden zaufany główny urząd certyfikacji, klienci będą ufać wszystkim zaufanym głównym urzędom certyfikacji w ich magazynach zaufanych głównych urzędów certyfikacji.

    5. Aby wskazać, że klienci korzystają z innej nazwy przy próbach uzyskania dostępu, wybierz opcję Użyj innej nazwy użytkownika dla połączenia.

    6. W celu zwiększenia bezpieczeństwa i wygody użytkowników zaznacz pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji.

    7. Kliknij przycisk OK, aby zapisać ustawienia Właściwości karty inteligentnej lub innego certyfikatu. Kliknij ponownie przycisk OK, aby wrócić do okna dialogowego Właściwości: Nowe zasady sieci przewodowej.

Spis treści